Krypto bezpečnostní firma CertiK tvrdí, že za několik transakcí Tornado Cash spojených s jejím zneužitím kryptoburzy Kraken v červnu nese vinu nepoctivý zaměstnanec.

Incident z 19. června, kdy firma stáhla z burzy přibližně 3 miliony dolarů, vyvolal v té době pobouření výzkumníků v oblasti kryptobezpečnosti, kteří se ptali, proč peněženka připojená k CertiK poslala finanční prostředky prostřednictvím schváleného protokolu DeFi.

"Tyto transakce nebyly provedeny se zlým úmyslem a nesouvisely s finančními prostředky vybranými z Krakenu," řekl mluvčí CertiK DL News a potvrdil, že jeden ze zaměstnanců firmy použil Tornado Cash.

Mluvčí uvedl, že člen týmu bez oprávnění poslal malé množství svých vlastních prostředků do Tornado Cash a okamžitě je vybral na několik nových adres, které vlastní.

Tornado Cash umožňuje uživatelům přerušit řetězec sledovatelnosti mezi blockchainovými transakcemi.

I když CertiK tvrdí, že incident byl „whitehat“ operací navrženou k testování bezpečnosti Krakenu, není jasné, proč se zdá, že podnikání postavené na zabezpečení kódu pro krypto porušilo průmyslové standardy při vyšetřování a testování zneužití.

'Hluboce se omlouvám'

Nové komentáře přicházejí poté, co společnost CertiK zveřejnila své první oficiální prohlášení k incidentu 16. srpna, v němž uvedla, že podnikla kroky k „minimalizaci rizika, že se podobná nedorozumění znovu objeví“.

Další odborníci na kybernetickou bezpečnost byli skeptičtí.

"Ten blog byl sotva omluvou," řekl člen Security Alliance Hudson Jameson o prohlášení CertiK na Telegram - aplikaci pro zasílání zpráv.

CertiK od té doby přijal omluvnější tón.

„Hluboce se omlouváme za nepříjemnosti a zmatky způsobené incidentem s Krakenem našim zákazníkům a komunitě,“ řekl mluvčí firmy DL News.

Prohlášení ze 16. srpna se nezabývalo tím, proč byla aktiva odeslána z peněženky připojené k firmě do Tornado Cash.

A CertiK nereagoval na dotaz, proč člen týmu vůbec posílal malé částky prostřednictvím Tornado Cash.

Ačkoli Tornado Cash má legitimní použití, regulační orgány jej prověřily kvůli jeho popularitě u osob, které perou špinavé peníze, zejména u severokorejského syndikátu pro počítačovou kriminalitu Lazarus Group.

V roce 2022 byla Tornado Cash sankcionována Úřadem pro kontrolu zahraničních aktiv – neboli OFAC. Podle webu OFAC mohou sankce za porušení sankcí přesáhnout několik milionů dolarů.

Vzhledem k tomu, že CertiK je společnost registrovaná v USA, je téměř jistě zavázána k takovým sankcím.

A transakce Tornado Cash nejsou jedinou nezodpovězenou otázkou z debaklu.

Další přetrvávající otázkou je, proč se CertiK rozhodl stáhnout tak velké množství peněz – téměř 3 miliony dolarů – z Krakenu poté, co objevil chybu.

"Náš tým to udělal, aby otestoval limit ochrany Kraken a kontroly rizik," řekl CertiK. "Pokud je nám známo, nebyla spuštěna žádná upozornění a nebyly spuštěny žádné limity."

Průmyslové standardy nařizují, že po potvrzení existence chyby by ji měl nálezce při nejbližší příležitosti nahlásit – ne ji nadále využívat k testování teoretických limitů.

Co se pokazilo?

CertiK, kryptobezpečnostní firma, která se chlubí poskytováním služeb více než 4 700 projektům, uvedla, že od té doby podnikla disciplinární opatření proti členům týmu zapojených do zneužití Krakena při implementaci změn zásad a školení.

To, jak uvedla firma, zahrnuje zajištění interního souladu se všemi zásadami a platnými zákony, včetně sankcí OFAC.

V loňském roce společnost CertiK propustila přibližně 15 % své pracovní síly v důsledku řady propouštění v celém odvětví.

CertiK charakterizoval rušení pracovních míst jako „strategické přizpůsobení pracovní síly v reakci na vyvíjející se dynamiku trhu“. Firma odmítla sdělit, zda škrty ovlivnily kvalitu jejích interních procesů.

Tim Craig je korespondentem DeFi v Edinburghu DL News. Oslovte tipy na tim@dlnews.com.